Come posso scaricare il mio ssd avviabile per ispezionare il dump nell'editor HEX

0

Sono su macbook. Ho crittografato il volume di avvio. Conosco la mia password e normalmente posso accedere al mio profilo su macOs. Devo creare un dump perfetto per byte della partizione crittografata nello stato decrittografato per cercare una sequenza di byte specifica.
Passi che ho fatto:

  • accedi alla modalità di ripristino

  • monta partizione tramite diskutil

  • lancia il terminale e prova a leggere / dev / disk1s1

Mostra l'errore seguente:

cat: /dev/disk1s1: Operation not permitted

Ho anche provato con editor esadecimali e modalità sudo.

C'è un modo per accedere alla sequenza di byte non codificati su ssd interno del mio macbook?

    
posta user3759015 29.11.2017 - 14:51
fonte

1 risposta

1

Dal momento che fai il boot nel recupero, dovrai prima decrittografarlo usando diskutil

diskutil coreStorage decryptVolume /dev/disk1s1 -passphrase ThePassPhraseYouSet 

Quindi decodificherà il volume.

Per la pagina man ( man diskutil ):

Begin a live background process of decrypting the on-disk backing bytes of an existing encrypted CoreStorage logical volume (LV). Bytes are read, decrypted, and written back to disk in plain form. The LV must be unlocked before beginning this operation.

Dovrai sbloccare prima ...

diskutil coreStorage unlockVolume

Una volta non codificato, puoi utilizzare dd per scaricarlo in un'immagine per una successiva manipolazione:

sudo dd if=/dev/disk1 of=/path/to/disk.img
    
risposta data 29.11.2017 - 20:28
fonte

Leggi altre domande sui tag